- Polymarket perde US$ 700 mil em ataque ao UMA CTF Adapter na rede Polygon
- Atacante drenou US$ 458 mil em USDC e mais de US$ 200 mil em POL
- Equipe atribui falha a chave privada comprometida fora dos contratos principais
A Polymarket, maior plataforma de mercados de previsão do mundo, foi alvo de um ataque que drenou cerca de US$ 700 mil em ativos no dia 22 de maio. O exploit ocorreu na rede Polygon (POL) e mirou o contrato responsável pelo pagamento de recompensas aos usuários, recém-atualizado pela equipe.
Segundo o investigador on-chain ZachXBT, o invasor explorou o UMA CTF Adapter, contrato que conecta o sistema de oráculos da UMA aos mercados condicionais da Polymarket. O saque somou aproximadamente US$ 458 mil em USDC e mais de US$ 200 mil em POL, valores transferidos em pequenos lotes para dificultar o rastreamento.
Como o ataque foi executado
O método chamou atenção pela frieza operacional. A cada trinta segundos, o atacante movia 5.000 POL para uma carteira única, num saque contínuo até esgotar os fundos disponíveis no contrato. Depois, distribuiu o montante entre 16 endereços diferentes.
Daí, parte do dinheiro seguiu para corretoras centralizadas e serviços de mixagem, técnica clássica para apagar rastros. ZachXBT apontou novamente exchanges como KuCoin e HTX entre as plataformas usadas para lavar valores roubados, repetindo críticas que já fez em casos anteriores sobre demora no congelamento de fundos suspeitos.
O ataque vem na esteira de um novo programa de rebates lançado pela Polymarket, o que sugere janela aberta justamente na engrenagem de pagamentos. Não é a primeira vez em 2026 que falhas operacionais derrubam infraestruturas cripto o ano já registra aceleração no número de incidentes envolvendo chaves privadas mal armazenadas, como o alerta recente sobre chaves de API levantado por Changpeng Zhao.
Resposta da Polymarket
O engenheiro de software Shantikiran Chanal, da Polymarket, publicou comunicado no X afirmando que os fundos dos usuários e a resolução dos mercados permanecem seguros. Segundo ele, o comprometimento atingiu uma carteira usada para operações internas, e não os contratos principais nem a infraestrutura central da plataforma.
Chanal disse que a equipe está fazendo rotação de chaves nos serviços de backend e auditando outros segredos internos que possam ter vazado. Os mercados não foram pausados.
ZachXBT e a Bubblemaps, por outro lado, pediram que traders suspendessem temporariamente atividades na plataforma até concluírem a apuração. A divergência expôs a tensão entre os times de segurança independentes e a comunicação oficial das empresas algo que tem se repetido em quase todo grande incidente.
Impacto nos preços e leitura de mercado
O token UMA recuou cerca de 3,3%, saindo de US$ 0,477 para US$ 0,462. A reação foi contida se comparada a outros exploits do ciclo. O hack da THORChain, por exemplo, derrubou o RUNE em 15% em poucas horas.
Já o POL manteve-se estável em aproximadamente US$ 0,092, sinal de que o mercado leu corretamente o escopo do problema, o contrato afetado era o adaptador, não a rede Polygon em si. A precificação cirúrgica mostra maturidade dos investidores, diferentemente de 2021 e 2022, quando exploits contaminavam ecossistemas inteiros.
Para o investidor brasileiro que usa plataformas baseadas em USDC, o episódio reforça um ponto técnico, chaves operacionais continuam sendo o elo mais frágil da pilha cripto. Mesmo plataformas com contratos auditados e bilhões em volume ficam expostas quando o gerenciamento de segredos internos falha.
O incidente também expõe um paradoxo apontado por usuários nas redes: a maior plataforma global de previsão de eventos não previu o próprio ataque. A plataforma interrompeu a movimentação, e a Polymarket segue investigando o caso, com possibilidade de divulgar novos detalhes técnicos nos próximos dias.
